以守为攻：美军网络空间战的“纵深防御”术

朱 滨

以守为攻：美军网络空间战的“纵深防御”术

朱 滨

《孙子兵法·军形篇》说：“善守者，藏于九地之下；善攻者，动于九天之上，故能自保而全胜也。”其中“九地”是指至深之地，孙子用其来说明防御时要善于隐蔽企图，就像隐藏于深不可测的“九地”之下，使敌无法了解防守方的意图。现实的网络攻防战中，对抗双方都试图最大限度地隐蔽自身各种信息：一方要隐藏进攻的工具和战术，另一方则要隐秘防御方案和措施。所以，《孙子兵法·虚实篇》又说：“故善攻者，敌不知其所守；善守者，敌不知其所攻。”把握主动、诱敌制胜是孙子兵法“示形”思想的精妙所在。在当代的网络防御中，信息安全概念的演变和发展，导致单一的手段和措施既无法隐匿己方任何安全防护意图，更不利于示形诱敌、驾御有形、克敌制胜，因而把传统作战领域中的“纵深防御”战略引入网络空间成为必然。

对美军而言，作战系统的网络化、信息化产生了巨大的军事效益，但伴随而来的风险和漏洞却对军事安全构成了严重威胁。技术进步和安全需求推动着美军网络安全保护工作在实践中不断发展和完善，美军以“纵深防御”战略为指导思想，大力加强信息安全体系的建设。

约公元前500年爱尔兰的恩根斯堡纵深防御遗址

“纵深防御”战略的提出

“纵深防御”原指通过层层设防来保护动力学或现实世界的军事或战略资产，迫使敌方分散进攻力量，难以维系后勤保障，从而达到迟滞敌方进攻或使之无法继续进攻的战术目的。在网络空间防御中，“纵深防御”战略是指采用多样化、多层次、纵深的防御措施来保障信息和信息系统安全，其主要目的是在攻击者成功地破坏了某种防御机制的情况下，网络安全防御体系仍能够利用其他防御机制为信息系统提供保护，使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统。

20世纪末，随着网络技术的应用与发展以及“网络中心战”概念的提出，美军各部门和单位对信息和网络的依赖性不断增强，网络安全问题随之凸显，单纯的保密与静态防护已无法满足信息安全的需求，美军亟需与之相适应的信息安全保障措施。为满足军方的需求，美国国家安全局于1998年制定了《信息保障技术框架（1.0版）》（IATF）。IATF系统地研究了信息保障技术，提出了“纵深防御”战略，认为信息保障要靠人员、操作和技术来实现，并建立起了“防护、检测、响应、恢复”动态反馈模式（即PDRR模型）保障网络安全，为保护美国的信息基础设施提供了技术指南。在美军的实践中，“纵深防御”战略应用于一种风险共担的信息系统环境，由多方共同采取多样化、多层次的综合性防御措施来保障美军信息和信息系统安全。借助在信息系统内广泛采用的多种防御措施，“纵深防御”战略有效地解决和弥补了信息系统生命周期内在人员、技术和操作方面存在的安全漏洞和薄弱环节。

PDRR模型图

“纵深防御”战略的主要内容

人员、技术和操作是“纵深防御”战略的核心要素，着眼于人员管理、技术保障和运行维护的政策制度设计、装备技术研发、安全态势维持等活动，构成了“纵深防御”战略的主要内容。

人员是网络安全体系中的决定性因素。“纵深防御”战略强调人员因素，在领导层面上，要求领导层能够意识到现实的网络安全威胁，重视安全管理工作，自上而下地推动安全管理政策的落实；在操作人员层面，要求加强对操作人员的培训，提高信息安全意识；在人员制度层面，要求制定严格的网络安全管理规范，明确各类人员的责任和义务职责；在安全防范机制层面，要求建立物理的和人工的安全监测机制，防止出现违规操作。

技术是网络安全最基本的保障，是构建网络空间防御体系的现实基础。“纵深防御”战略提出：建立有效的技术引进政策和机制是确保技术运用适当的前提，只有依据系统架构与安全政策，进行风险评估，选择合适的安全防御技术，构建完善的防御体系，才有助于推动实现全面的网络安全。

操作是指为保持系统的安全状态而开展的日常工作，其主要任务是严格执行系统安全策略，迅速应对入侵事件，确保信息系统关键功能的正常运行。操作是“纵深防御”战略中的核心因素，人员和技术在防御体系中的作用只有通过经常性的运行维护工作才能得以体现。

“纵深防御”战略的体系框架

实施“纵深防御”战略的指导思想及应用原则

“纵深防御”战略是美军保护网络系统核心部分免遭入侵的基本策略。美国防部规定各军兵种、国防部各部门、各司令部应运用“纵深防御”战略保护国防部的信息和信息系统，开展相应的计划和训练工作；各级领导部门需因地制宜地开展风险评估工作，制定有效的风险管理措施，并根据各单位的能力和水平采取有效的“纵深防御”措施；在国防部信息系统的软硬件研发过程中，应贯彻“纵深防御”战略，积极建设相关网络安全防御系统，采取渐进的方式优先保护关键资产和数据。为推动“纵深防御”战略的实施，深化认识、明确重点，IATF提出实施“纵深防御”战略应遵循“多处设防、分层防护、细化标准”等原则。

多处设防。“纵深防御”战略把网络与基础设施、飞地边界、计算环境和支撑性基础设施列为重点防护区域，实际应用当中涉及针对路由器、防火墙、VPN、服务器、个人计算机和应用软件等的保护。本地计算环境的防护以服务器和工作站为重点，是信息系统安全保护的核心地带。飞地是一组本地计算设备的集合，飞地边界防护主要关注如何对进出这些“区域”边界的数据流进行有效地控制与监视。网络及其附属基础设施是连接各种飞地的大型传输网络，由在网络节点间传输信息的设备构成，包括各类业务网、城域网、校园网和局域网。网络及其附属基础设施的安全是整个信息系统安全的基础。支撑性基础设施（如密钥管理基础设施）是网络安全机制赖以运行的基础，其作用在于保障网络、飞地和计算环境中网络安全机制的运行，从而实现对信息系统的安全管理。

分层防护。美军在实施“纵深防御”战略的过程中，按照分层的网络体系结构，对国防信息系统各层面临的安全威胁进行充分的分析评估，针对不同的安全威胁分层部署防护和检测机制措施，形成梯次配置，进而增加攻击被检测的风险，提高攻击成本，降低其成功几率。以美海军为例，美海军在实施“纵深防御”战略的过程中，构建起了以“主机、局域网、广域网、海军GIG网络、国防部GIG网络”五个区域为基础的设防区域，综合运用入侵防御系统、防火墙、基于主机的安全系统等分层防护措施实施网络防御。

细化标准。细化标准是对各类网络安全系统机制的强度（如加密算法的强度）和网络安全技术解决方案的设计保障（如采用机密手段确保机制的实施）做出具体的规定。为了描述网络安全的强度，美国防部制定了初、中、高三个等级，并提出国防信息系统的“纵深防御”战略中，网络安全技术解决方案应根据系统的重要性等级，采取其中一个级别的措施。例如高等级的安全服务和机制可提供最严格的防护和最强的安全对抗措施，高等级的安全解决方案必须达到下列要求：采用国家安全局认证的1类密码用于加密；采用国家安全局认证的1类密码验证访问控制；密钥管理方面，对于对称密码，采用国家安全局批准的密钥管理措施（创建、控制和分发），对于非对称密码，使用5类PKI认证和硬件安全标识保护用户私有密钥和加密算法；采用的产品需通过国家安全局的评估和认证。

网络安全技术通用框架

“纵深防御”战略的实践和发展

美军率先将“纵深防御”战略应用于全球信息栅格的建设，加强顶层设计与长远规划，积极开展安全技术创新，大胆借鉴和利用成熟的商用安全产品，从组织管理、装备技术和政策法规层面，建立起综合性网络安全保障体系，不断强化国防信息系统的安全。

在组织管理层面，为推动“纵深防御”战略的落实，美军建立了以联合参谋部为领导机构、各军种具体负责、国家安全局和国防信息系统局提供技术支援和保障的组织管理体系。联合参谋部情报部部长负责制定保障“纵深防御”战略的情报条令和法规，联合参谋部作战计划与联合部队发展部负责计划和在演习中落实“纵深防御”战略；各军种部长负责制定本军种“纵深防御”战略的具体实施细则，监督所辖网络的贯彻和执行情况；国防信息系统局局长负责组织和领导国防信息系统“纵深防御”战略防御技术的研发工作，会同参联会主席和国家安全局局长制定“纵深防御”战略分层保护措施，并监督落实情况；国家安全局局长负责管理IATF的制定工作，保障“纵深防御”战略的实施，并提供相应的工程技术支援。

在装备技术层面的建设，美国国防部要求：美军网络空间安全解决方案应坚持以通用性和综合性为研发方向，以“纵深防御”为基本手段，以C4ISR框架结构为基础，推动网络空间作战的发展。为此，美军贯彻“先关键资产和数据，后飞地网络”的保护原则，通过技术研发和装备采办，有重点、分阶段地推动装备技术防御体系的完善和更新。装备技术体系建设核心内容包括密码技术、非军事区、虚拟安全飞地、基于主机的安全系统“应用程序白名单”技术和网络态势感知。

在政策法规层面，2009年美国国防部制定并颁布了《网络空间的信息保障发展战略（CIIA）》，提出了国防部信息系统安全建设的“网络保障、身份保障和信息保障”总体目标，从能力建设、任务管理、攻击防范和应变处置四个方面提出了具体的工作任务目标。为促进任务目标的落实，国防部首席信息官办公室制定了《信息安全政策总图》，以四项任务目标为总纲，着眼“纵深防御”战略的实际应用，对国防部和联邦政府现行的网络安全政策和技术法规进行了全面的梳理和分类，内容涉及网络空间安全工作的组织与领导、网络空间作战技术研发、从业人员职业技能培训、通信加密和信息共享管理、网络攻击防范、可信网络系统建设以及加强网络安全战备等方面，从而建立起了完整而又清晰的“纵深防御”战略的政策法规体系。

在国防信息系统由传统的链接加密和边界保护的分散网络向无缝互联的信息环境转型过程中，美军提出运用“纵深防御”战略，建立全军统一的网络安全机制，未来将大力加强七项网络防御能力的建设。这七项能力相互补充融合，构成保障国防信息系统正常运行的重要基础。

通信保护能够实现在不同安全等级的信息环境中，对每次通信都实施端对端的精准安全控制，以便保护个人隐私，确保通信的连续性、真实性和不可否认性；网络敌我识别能够实现对国防信息系统及其附属网络中人员和实体（包括设备、数据和网络）的网络空间敌我识别，确保友方网络实体的可视和可控；可信数据和平台能够强化安全机制，确保军事数据的完整性和保密性；网络空间侦察和监视能够持续监测国防信息系统用户、设备和网络的行为，实时掌握国防信息系统的安全态势；企业化安全管理可综合利用各类企业化安全管理服务，如密钥管理、审计、认证、授权、证书、策略等等，持续而有效地管控国防信息系统内的安全功能，必要时采取应急措施进行实时调整；动态防御将构建广阔的网络空间传感器网，并以之为基础来建设企业化安全管理基础设施，应对国防信息系统之外的安全威胁；强化任务意识，以满足“执行任务”需要为出发点，对各类网络、服务和数据实施统筹和优化，实现“满足任务需求”与“建设网络安全”的协调发展。

美军将大力加强七项网络防御能力的建设

责任编辑：何 旭